Ausgabe:
Die Zuordnung von externen Network Address Translations (NATs) zur internen Infrastruktur kann für Verteidiger eine Herausforderung darstellen. Oftmals sind komplexe Datenverknüpfungen über mehrere unterschiedliche Protokollierungsressourcen hinweg erforderlich. Diese Transparenzlücke entsteht bei der Untersuchung von Bedrohungssignaturen, die auf externe NATs treffen und an die zugrunde liegende Infrastruktur weitergeleitet werden. In den meisten Fällen reicht es aus, zu wissen, ob die zugrunde liegende Infrastruktur auf Microsoft oder Linux basiert, um eine vollständige Untersuchung zu vermeiden oder eine Warnung an die SOC-Teamleiter der Stufen 2 oder 3 zu eskalieren.
Lösung:
Censys Attack Surface Management (ASM) kann einen umfassenden Einblick in Ihre nach außen gerichtete IT-Infrastruktur geben. Diese erhöhte Transparenz und Situationskenntnis kann die Zeit für die Alarmtriage verkürzen und die Standardisierung der Alarmverarbeitung für netzwerkbasierte Alarme erhöhen.
Szenario:
Ein Analyst im Security Operations Center (SOC) erhält eine kritische oder hochprioritäre Warnung zur Sichtung und Validierung. Die Uhr läuft, es ist Zeit für eine Untersuchung! Jede Sekunde zählt, wenn Cyber-Verteidiger an vorderster Front Warnmeldungen sortieren.
Beispiel Alert-Signatur:
(Kritische Warnung)
Firewall entdeckte Exploit-Signatur {Signatur} bei IP/Host (externe lastverteilte NAT-IP-Adresse/Domäne)
Die Warnung wird den Analysten über ein SIEM vorgelegt. Der Analyst recherchiert die CVE/Signatur und sammelt wichtige Informationen. Mit dem Kontext der Exploit-Signatur, d. h. der grundlegenden Frage, welche Art von System potenziell anfällig ist, ist der Analyst nun in der Lage, das Ziel der gemeldeten Bedrohungssignatur zu bewerten. Im Hauptteil der Warnung ist die externe NAT/Load Balanced IP und/oder der Domänenname enthalten. Zu diesem Zeitpunkt versucht der Analyst lediglich, grundlegende Fragen zu bestätigen oder zu verneinen. Ist diese Bedrohungssignatur überhaupt in der Lage, sich auf diesen Host auszuwirken? Welche Software-Version(en) ist/sind betroffen? Zielt der Exploit auf Microsoft-Server, eine Linux-basierte Infrastruktur oder eine bestimmte CMS-Anwendung/Version? Dies sind grundlegende, aber zeitaufwändige Fragen, die bei der manuellen Bewertung einer Infrastruktur mit Lastenausgleich zu beantworten sind.
Ohne Censys ASM müsste der Analyst seine internen Toolsets und das SIEM verlassen, um die IP/Domäne, auf die die Bedrohungssignatur abzielt, manuell auszuwerten. Die Gewährleistung, dass Analysten in der Lage sind, Alarme innerhalb ihrer Standard-Toolsets zu verarbeiten, ist wichtig für die Standardisierung des gesamten SOC-Prozesses. Dadurch wird die Konsistenz und Qualität der Entscheidungsfindung der Analysten erhöht.
Wie kann Censys ASM helfen?
Mit täglichen Scans und Host-Informationen können wir nicht nur Fingerabdrücke von Ihrem Edge-Client wie F5 Big-IP erstellen, sondern auch von der zugrunde liegenden Server-Infrastruktur mit Lastausgleich.
Beispiel für ASM "Host Information" für eine typische F5 BIG-IP NATd und Load Balanced IP. Censys Scans erkennen die zugrunde liegenden Microsoft Server. Wichtige Datenpunkte für die Untersuchung von Netzwerkwarnungen durch das SOC Analayst.
Beispiel für ASM-Host-Informationen:
Eine kurze Überprüfung der Censys ASM-Daten zeigt unserem SOC-Analysten, dass die zugrunde liegende Infrastruktur dieses Hosts auf Microsoft basiert. Es stellt sich heraus, dass unser Beispiel-Warnungsexploit nur für bestimmte Versionen von Linux entwickelt wurde. Der Analyst kann die Schritte, die ihn zu seiner Schlussfolgerung geführt haben, getrost dokumentieren. Warnung geschlossen!
CMS-Fingerprints sind auch wichtige Datenpunkte bei der Auswertung von Exploit-Signaturen, die von Ihrer Firewall beobachtet werden, und werden ebenfalls angezeigt, wenn sie beobachtet werden.
Ein 60-Sekunden-Pivot in Censys ASM-Daten kann Ihrem Team Zeit sparen. Manuell könnte dieser Prozess 10-15 Minuten dauern. Und nicht nur das: Die Qualität der Überprüfung durch die Analysten wird durch die Verwendung bekannter Standardquellen der Wahrheit erhöht.
Um dieses Konzept noch einen Schritt weiterzuentwickeln, können Censys ASM-Daten in SIEM/SOAR-Lösungen integriert werden, wo diese Daten automatisch den Firewall-Exploit-Signaturalarm anreichern würden. Warnung erhalten, mit Censys ASM-Daten angereichert, Warnung geprüft, Warnung geschlossen. Der Analyst pustet den Rauch aus dem Ende seiner Maus und trinkt einen Schluck Kaffee, bevor er sich dem nächsten Alarm zuwendet.